开启全网商机
登录/注册
【医院公告】网络安全等保测评及网络安全服务市场调研公告
招标详情
下文中****为隐藏内容,仅对千里马会员开放,如需查看完整内容请
「注册/登录」或 拨打咨询热线:
400-688-2000
相关单位:
***********公司企业信息
网络安全等保测评及网络安全服务市场调研公告
根据我院网络安全建设发展需要,本着“公平、公开、公正”的原则,现针对等保测评与安全运维服务进行市场调研,欢迎符合条件的潜在供应商报名参加。
一、服务需求:
网络安全等级保护测评与安全运维服务。
二、项目预算:
本项目预算总金额为19.8万元整,各潜在供应商应提供最具性价比的方案且总价不得高于该预算总金额。
三、服务项目内容和技术服务要求
(一)、网络安全等级保护测评服务
1.总体要求:
(1)提供为期1年的网络安全等级保护测评服务,按照国家有关管理规范和标准要求,结合采购人实际安全需求,****医院HIS、LIS、PACS、EMR,对以上4个系统进行三级等保测评,编制所服务系统《定级报告》和《备案表》,配合做好备案审批,使采****机关颁发的《信息系统安全等级保护备案证明》,定级与备案工作中所需的各种费用均已包含在本项目预算费用中,所有相关费用均由中标人支付,采购人不再支付任何相关费用。
(2)工作过程文件及项目交付成果(包括但不限于):系统定级报告、备案材料。
(3)服务时间要求:完成等保测评、出具等保测评报告、备案。
2。测评服务内容包括但不限于以下内容:
(1)本次项目应依据国家《中华人民**国计算机信息系统安全保护条例》国家和行业最新现行执行标准、《信息安全等级保护管理办法》国家和行业最新现行执行标准、《信息安全技术 网络安全等级保护基本要求GB/T 22239-2019 》、《信息安全技术 网络安全等级保护测评要求GB/T 28448-2019》等法规要求进行信息系统安全等级测评。
(2)技术层:本次项目的等保测评机构须把测评指标和测评方式等结合到被测系统的具体测评对象上,构成一个个可以具体测评实施的工作单元。从技术5个方面以及扩展项内容,分别描述单元测评实施的主要内容;管理层:本次项目的等保测评机构须把测评指标和测评方式等结合到被测系统的具体测评对象上,构成一个个可以具体测评实施的工作单元。从管理5个方面以及扩展项内容,分别描述单元测评实施的主要内容。
(3)安全控制间安全测评主要对同一区域内、同一层面上的不**全控制间存在的功能增强、补充或削弱等关联作用进行测评,同时,也包括对《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019的要求项与同一区域、同一层面上的非《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019要求的安全控制之间的安全测评。依据不同层面对系统进行划分,分类分析各个层面中安全控制间存在的关联作用,从系统层面上分析考察单元测评中确定的不符合项对系统整体安全保护能力的影响,及不符合项整改的必要性。
(4)层面间安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。在进行层面间安全测评时,可以考虑不同层面的两个不**全控制,也可以同时考虑两个以上不**全控制的相互作用。对于系统不同层面间相配合的保护措施,需要结合不同层面的安全控制点分析其相互之间存在的关联作用,从而确定某些不符合项对系统整体安全保护能力的影响。
(5)区域间安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。一般边界区域都会和内部某个或某些区域之间发生数据交换;内部不同区域之间也可能因为业务的需要而发生数据交换,需要重点测评这些区域之间的关联作用。
(6)技术要求部分测评须涉及安全通信网络、安全区域边界、安全计算环境、****中心、安全物理环境五个方面,须通过访谈、配置检查和工具测试的方式测评信息系统的技术安全保障情况。
(7)物理安全测评须通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为机房。
(8)安全通信网络测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全通信网络保障情况;安全区域边界测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全区域边界保障情况;安全计算环境须通过访谈、配置检查和工具测试的方式测评信息系统的安全计算环境保障情况;****中心测评须通过访谈、配置检查的方式测****管理中心保障情况。
(9)管理要求部分测评须涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面,管理要求方面的测评对象主要为安全主管人员、安全管理人员等。
(10)安全管理制度:须针对管理制度、制定和发布、评审和修订等情况进行核查。
(11)安全管理机构:须针对岗位设置、人员配备、授权和审批、沟通和协作、审核和检查等情况进行审核。
(12)安全人员管理:须针对人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等进行核查。
(13)安全建设管理:须针对系统建设的全过程,系统定级、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发等进行核查。
(14)安全运维管理:须针对资产管理、介质管理、设备管理、监控管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理进行核查。
(15)安全扩展项:若涉及扩展项测评,须对扩展项相应的内容,进行检查与记录,明确扩展项的问题。
3.实施人员要求:
为了保证项目的顺利实施,保障测评现场应具有应急技术处理能力,确保项目质量达到预期目标,要求本次项目的等保测评机构成立项目实施组,至少配备1名高级测评师及4名中级测评师)。
(二)、安全运维服务
1.服务期限:自合同签定之日起,提供为期1年的安全运维服务。
2.具体安全运维服务内容如下:
| 序号 |
服务名称 |
服务项目 |
服务内容 |
服务 频次 |
服务年限 |
| 1 |
安全运维服务 |
安全巡检 |
对网络范围内的所有安全设备进行安全巡查,巡查内容包括:设备运行状态、安全日志信息、设备配置规范性、防护策略有效性等。 提交:《安全巡检报告》 |
4次/年 |
1年 |
| 2 |
资产梳理 |
调查和统计服务范围内的信息资产,包括但不限于网络设备、主机、应用软件、业务系统、数据、人员、标准流程等,明确其现有状况、配置情况和管理情况。 提交:资产调研表 |
1次/年 |
||
| 3 |
漏洞扫描 |
每季度开展全面的漏洞检测,利用专业的脆弱性扫描工具主动发现平台存在的脆弱性,能够发现设备、服务器、数据库等对象中存在的安全风险、漏洞,并根据扫描结果提供合理的解决建议。 提交:《漏洞扫描报告》 |
4次/年 |
||
| 4 |
安全加固 |
针对安全巡检、安全配置检测、安全评估、渗透测试服务发现的安全问题,提供针对性的安全加固,制定合理的安全加固方案,实施安全加固服务,提升系统自身的抗攻击能力。 提交:《安全加固报告》 |
4次/年 |
||
| 5 |
渗透测试 |
安全专家手工模拟攻击者的入侵手段,通过信息收集、端口扫描、远程溢出检测、口令猜测、本地溢出、脚本测试、漏洞扫描等多种渗透测试方式,对应用系统进行多角度的业务系统渗透测试。对渗透测试过程中发现的安全问题,需制定切实可行的安全修复方案,并协助进行漏洞修复。 提交:《渗透测试报告》 |
4次/年 |
||
| 6 |
恶意代码排查 |
通过安全工具扫描检测,结合人工对可能存在被恶意代码感染的系统进行排查检测,包括排查主机是否被入侵、处理进行中的攻击、查找和清理病毒、蠕虫、木马等恶意程序,以及清理Web站点中的WebShell、暗链、挂马页面等。最终清除恶意代码,并提出安全修复建议。 提交:《恶意代码排查处置》 |
2次/年 |
||
| 7 |
应急响应 |
全天候7*24响应客户紧急安全事件,即刻提供远程技术支持,如远程支持无法解决问题则须在4小时内到达现场,分析解决问题。每次服务须提供应急处置报告,找出根源并提供可行解决及防范方案。 提交:《应急响应处置报告》 |
按需 |
||
| 8 |
应急演练 |
通过模拟系统受到入侵攻击的场景,检验与系统相关的应急管理有关的组织架构、管理程序、指挥体系、应急报告机制和协调机制的有效性,提高各级人员的应急意识、应急响应人员的应急操作熟练程度以及应急处理实战能力。 提交:《应急演练方案》、《应急演练记录》 |
1次/年 |
||
| 9 |
新系统上线风险评估 |
针对新上线的业务系统和功能模块,开展全面的上线前安全评估工作,通过渗透测试、漏洞检测、配置核查,后门检测等手段,及时发现安全问题,避免系统带病工作。 提交:《新业务上线评估报告》 |
按需 |
||
| 10. |
安全规划咨询 |
为网络软硬件平台建设安全咨询服务,配合进行可行性研究、方案制定、产品选型等准备工作;为网络软硬件平台建设提供安全咨询,提供网络安全建设中涉及到的决策、管理及运行操作、网络信息系统策略优化问题的专业咨询。 提交:《安全建议方案》 |
1次/年 |
||
| 11. |
安全培训 |
每年提供1次安全培训服务,有资深的安全专家提供包括但不限于安全意识、安全法律法规、安全技术、安全管理等方面的专业培训。 提交:培训ppt |
1次/年 |
||
| 12. |
安全检查支撑 |
在监管单位(网安、网信等)对单位进行安全检查时,协助我反编制安全检查需要的相关材料,需要时在检查现场提供技术支持。 提交:安全检查需要的材料 |
按需 |
||
| 13. |
等保服务 |
提供对HIS、LIS、PACS、EMR系统的等级保护咨询服务,包括资产调研、定级备案、安全评估、差距评估、安全整改加固、管理制度补充服务、现场测评辅助服务等服务,直到系统通过等级保护测评。 |
1次/年 |
||
| 14. |
重保服务 |
在具有重大政治、经济影响的活动期间提供专人的安全保障服务,在需要时到现场提供安全保障技术支持。包括“数字中国”建设峰会、“两会”、护网等重要时期的安全保障服务。 提交:《安全保障报告》 |
按需 |
||
| |
攻防演练 |
提供攻击队(红队)攻击服务,提供由3个安全渗透专家组成的红队,需根据我方要求在规定时间内参加攻防演练中红队攻击。 |
按需 |
||
| 16 |
互联网暴露梳理服务 |
对用户的互联网资产进行暴露面梳理,通过对IP,站点,站点指纹和banner信息,端口服务,域名,子域名,微信公众号,小程序,暗网情报,github仓库泄露,文档泄露,网盘泄露等方面进行暴露面梳理,确认用户互联网资产暴露情况,并予以处置建议。 提交:《互联网暴露面梳理报告》 |
按需 |
||
| 17 |
互联网主机SAAS攻击监测服务 |
通过安装saas攻击监测轻量级Agent,收集主机实时数****中心进行主机发现、资产清点、风险探测、入侵检测、安全基线检测以及网络微隔离,实现对主机安全的精准发现,入侵实时感知,威胁快速响应以及全面感知主机资产情况。 提交:《互联网主机saas攻击监测报告》 |
按需 |
||
| 18 |
|
数据分类分级服务 |
对医院现有数据进行分级分类,并建立相关管理制度 |
1次/年 |
|
四、其他要求
1. 为了保障服务能力,本次调研的服务提供商须为**市网信系统2025年度信息安全技术支撑单位。
2. 各潜在供应商提供的方案须针对安全运维服务的项目进行服务内容和服务成果的完善。
五、需提交的材料
1. 供应商有效期内的营业执照复印件。
2. 企业法人身份证复印件和委托代理人身份证复印件、法人授权委托书。
3. 服务详细清单、报价单。
4. 其他佐证材料:近三年福****医院案例(需提供中标通知书、合同关键页、验收文档、相关材料)、第四点其他要求中第1小点的技术支撑单位证明。
六、报名时间
2026年04月02日至2026年04月10日
七、报名方式
请有意向的合格供应商,按提交材料的要求以信封密封(带封条)、封面备注本项目名称、加盖公章形式将材料邮寄到:**县****街18****医院信息科。
收件人:吴举, 联系电话: 0593-****018
招标进度跟踪
2026-04-01
意见征集
【医院公告】网络安全等保测评及网络安全服务市场调研公告
当前信息
招标项目商机
暂无推荐数据
400-688-2000
欢迎来电咨询~
